RGPD : l’intérêt commercial reconnu comme un intérêt légitime par la CJUE

Dans une décision en date du 04 octobre 2024 (C-621/22), la Cour de justice de l’Union européenne (CJUE) a apporté une clarification majeure sur l’interprétation de l’article 6 du Règlement Général sur la Protection des Données (RGPD). Elle a jugé qu’un intérêt commercial pouvait être reconnu comme un intérêt légitime pour justifier le traitement de données personnelles, sous réserve de conditions strictes.

🟠 1 – Contexte de l’affaire

La KNLTB, fédération néerlandaise de tennis, avait communiqué, moyennant rémunération, des données personnelles de ses membres à deux sponsors commerciaux sans le consentement préalable de ces derniers. Ces sponsors ont ensuite utilisé ces informations à des fins de prospection commerciale.

L’autorité néerlandaise de protection des données, l’Autoriteit Persoonsgegevens, a infligé une amende à la KNLTB, estimant que cette pratique violait le RGPD.

La fédération a contesté cette décision, arguant que la communication des données reposait sur son intérêt légitime.

🟠 2 – Décision de la CJUE : l’intérêt commercial, un intérêt légitime sous conditions

L’article 6 du RGPD prévoit que le traitement des données personnelles est licite, même sans consentement lorsqu’il repose sur un intérêt légitime, à condition qu’il ne soit pas contraire à la loi et qu’il ne porte pas atteinte aux droits fondamentaux des individus.

La CJUE a ainsi confirmé qu’un objectif purement commercial pouvait constituer un intérêt légitime. Toutefois, cette reconnaissance repose sur plusieurs critères stricts :

  • L’intérêt commercial invoqué doit être indispensable à la réalisation de l’objectif poursuivi.
  • Il ne doit pas exister d’alternative moins intrusive pour atteindre ce même objectif.
  • Le traitement des données ne doit pas porter une atteinte disproportionnée aux droits et libertés fondamentaux des personnes concernées.

Ainsi, la CJUE a souligné que la communication de données à des fins de prospection commerciale devait être effectuée avec prudence, en tenant compte des attentes raisonnables des membres de la fédération et de l’impact potentiel sur leur vie privée.

🟠 3 – Un équilibre à respecter entre intérêts économiques et protection des données

Si la reconnaissance d’un intérêt commercial comme base légale ouvre des perspectives aux entreprises, elle ne leur offre pas pour autant un passe-droit. La CJUE insiste sur la nécessité de trouver un équilibre entre les intérêts économiques des entreprises et la protection des données des individus.

Les entreprises doivent donc procéder à une analyse rigoureuse, en tenant compte notamment :

  • Des attentes raisonnables des personnes concernées: un utilisateur peut-il raisonnablement s’attendre à ce que ses données soient utilisées à cette fin ?
  • De l’impact du traitement sur la vie privée: le traitement des données crée-t-il un risque excessif pour la personne concernée ?
  • Des mesures mises en place pour protéger ces données: l’entreprise a-t-elle prévu des mécanismes de sécurisation et de limitation de l’accès aux données ?

🟠 4 – La position de la CNIL sur l’intérêt légitime

En France, la CNIL a déjà admis que l’intérêt légitime pouvait justifier certains traitements de données, notamment lorsqu’il faut :

  • Garantir la sécurité du réseau et des informations,
  • Lutter contre la fraude, afin de prévenir les activités malveillantes.

Toutefois, la CNIL reste stricte sur certaines pratiques, notamment concernant la prospection commerciale par e-mail qui reste soumise au consentement explicite des utilisateurs, sauf en cas de relation commerciale préexistante.

🟠 5 – Quelles conséquences pour les entreprises ?

Cette décision de la CJUE pourrait avoir un impact significatif pour les entreprises qui traitent des données personnelles. Elle leur permet d’invoquer plus facilement l’intérêt légitime pour justifier certains traitements, sans systématiquement recourir au consentement.

Toutefois, cette nouvelle approche implique une analyse au cas par cas, exigeant de démontrer que :

  • L’intérêt commercial poursuivi est légitime et proportionné,
  • Les droits des individus sont respectés,
  • Des mesures de protection suffisantes sont mises en place.

En l’absence de ces garanties, un traitement fondé sur l’intérêt légitime pourrait être jugé non conforme au RGPD, exposant l’entreprise à des sanctions.

🟠 Conclusion

Avec cette décision, la CJUE ouvre la porte à une reconnaissance plus large de l’intérêt commercial comme base légale pour le traitement des données. Toutefois, les entreprises devront redoubler de prudence en évaluant les risques et en s’assurant que leurs pratiques respectent les droits des individus.

Dans un contexte où les autorités de protection des données, telles que la CNIL, restent particulièrement vigilantes, cette évolution souligne l’importance d’une gestion rigoureuse et transparente des données personnelles.

 

Pour en savoir plus / sources :

https://curia.europa.eu/juris/document/document.jsf?text=&docid=290688&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=670757

https://www.efl.fr/actualite/interet-commercial-constituer-interet-legitime-sens-rgpd_fcb910b0b-cd63-4bef-a506-c90ddf6af9c3

https://www.cnil.fr/fr/les-bases-legales/interet-legitime

https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

 

Cyberattaque chez un client : le prestataire informatique peut-il être tenu responsable ?

27 juin 2025
IT
Pas de commentaires

Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.

Rétractation d’ordonnance sur requête : la Cour de cassation écarte l’application du délai de huit jours

24 juin 2025
IT
Pas de commentaires

Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.

DMA & Commission Européenne : premières sanctions financières contre Apple et Meta

12 juin 2025
IT
Pas de commentaires

Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.

RGPD : Le consentement du salarié devient-il obligatoire pour exploiter son adresse IP ?

5 juin 2025
IT
Pas de commentaires

Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?